Gate.io API 密钥申请及安全使用指南
前言
Gate.io API(应用程序编程接口)是专业交易者、量化分析师以及希望构建自动化交易系统的用户的核心工具。它允许开发者通过编写代码来访问 Gate.io 交易所的各种功能,例如下单、查询账户余额、获取市场数据等。相较于手动交易,API 交易具有更高的效率、更快的速度和更强的灵活性,能够满足复杂的交易策略需求。例如,可以利用 API 构建自动止损止盈策略、追踪市场趋势并自动执行交易、以及进行高频交易。
通过Gate.io API,用户得以实现程序化交易,简化数据分析流程,并实现复杂的自动化策略部署。API 接口提供了对市场数据的实时访问,以及执行交易指令的能力,极大地提升了交易效率和策略执行的精确性。无论是机构投资者还是个人交易者,都可以利用 Gate.io API 来优化其交易流程。
然而,API 密钥的安全至关重要。API 密钥类似于账户的“通行证”,一旦泄露,攻击者即可利用该密钥控制您的账户,进行恶意交易或提取资金,从而导致严重的资产损失。为了保障您的资金安全,务必严格按照安全最佳实践来申请、配置和使用 Gate.io API 密钥。这包括但不限于:启用二次验证、设置合理的权限、定期更换密钥、以及将密钥存储在安全的地方,避免泄露给他人。
一、API 密钥申请流程
- 要访问平台的 API,您首先需要注册一个账户。访问官方网站,找到注册链接,并按照页面提示填写您的电子邮件地址、用户名和密码。请务必使用强密码,并妥善保管您的登录信息。完成注册后,您可能需要验证您的电子邮件地址。
填写API密钥信息:
- API密钥名称(Key Name): 为你的 API 密钥设置一个易于识别且具有描述性的名称,例如“量化交易机器人 - 黄金策略”、“数据分析工具 - BTC市场深度”或“自动化交易脚本 - ETH波动率”。清晰的命名规则有助于你高效地管理和区分不同的 API 密钥,尤其是在同时使用多个密钥进行不同目的的交易或数据访问时。
-
IP访问限制(IP Whitelist):
这是增强 API 密钥安全性的至关重要的一步。强烈建议填写你的服务器或应用程序的公网 IP 地址,并严格限制允许访问 API 的 IP 范围。只有来自白名单中 IP 地址的请求才会被授权访问 API 接口,从而有效防止未经授权的访问和潜在的安全风险。如果你的服务器或应用程序使用动态 IP 地址, 务必谨慎处理。 一种方法是设置允许访问的 IP 范围,但需精确控制范围大小,避免过度开放。另一种方式是定期更新白名单,以适应 IP 地址的变更。 绑定
0.0.0.0/0(允许所有 IP 地址访问) 极其不安全,强烈不推荐 。这样做会使你的 API 密钥暴露在公网环境中,极易受到恶意攻击和数据泄露的威胁。请务必权衡便利性和安全性,采取适当的措施来保护你的 API 密钥。
- 交易(Trade): 允许使用 API 进行买入、卖出等交易操作。如果你的 API 密钥用于交易机器人,则必须勾选此权限。
- 提现(Withdraw): 允许使用 API 发起提现请求。请务必谨慎授予此权限。除非你有极高的安全性需求,否则强烈建议不要开启此权限。
- 现货账户读取(Spot Account Read): 允许使用 API 查询现货账户余额和交易记录。
- 合约账户读取(Futures Account Read): 允许使用 API 查询合约账户余额和交易记录。
- 杠杆账户读取(Margin Account Read): 允许使用 API 查询杠杆账户余额和交易记录。
- 划转(Transfer): 允许使用 API 在不同账户之间进行资金划转。
- 借贷(Loan): 允许使用 API 进行借贷操作。
- 其他权限: Gate.io 可能会提供其他特定的 API 权限,请根据你的需求进行选择。
获取API密钥: 成功创建 API 密钥后,系统会生成两段重要的信息:API Key (Access Key) 和 Secret Key (Secret)。请务必妥善保管 Secret Key,因为 Secret Key 只会显示一次,并且无法恢复。
二、API 密钥的安全使用
- 限制 API 密钥权限: 创建 API 密钥时,务必遵循最小权限原则。仅授予密钥执行特定任务所需的最低权限。例如,如果您的应用程序只需要读取数据,则不要授予写入或删除权限。大多数交易所和平台都允许您自定义 API 密钥的权限范围,请仔细审查并配置这些设置。
- 使用独立的 API 密钥: 为不同的应用程序或目的创建单独的 API 密钥。如果一个密钥泄露,其他密钥仍然安全,并且您可以隔离受影响的应用程序。
- 存储 API 密钥在安全的地方: 切勿将 API 密钥硬编码到您的应用程序代码中或将其存储在版本控制系统中。使用安全的密钥管理系统,例如环境变量、配置文件或专门的密钥管理服务(如 HashiCorp Vault)。
- 加密存储的 API 密钥: 对存储在磁盘或数据库中的 API 密钥进行加密,增加一层额外的安全保护。即使数据泄露,攻击者也需要解密密钥才能使用它们。
- 定期轮换 API 密钥: 定期更换 API 密钥,即使它们没有被泄露。这将限制攻击者利用旧密钥的时间窗口。制定密钥轮换计划,并确保您的应用程序可以自动处理新的密钥。
- 监控 API 密钥的使用情况: 监控 API 密钥的活动,检测异常行为或未经授权的访问。大多数交易所和平台都提供 API 使用情况的日志和监控工具,利用这些工具来检测潜在的安全问题。设置警报,以便在检测到可疑活动时收到通知。
- 使用 IP 地址白名单: 限制 API 密钥只能从预定义的 IP 地址或 IP 地址范围访问。这将防止未经授权的服务器或网络使用您的 API 密钥。
- 实施速率限制: 设置 API 请求的速率限制,防止恶意攻击者通过大量的 API 请求来耗尽您的资源或进行拒绝服务攻击。
- 注意第三方库和 SDK: 在使用第三方加密货币库或 SDK 时,仔细审查它们的安全性。确保它们是来自可信赖的来源,并且不会无意中泄露您的 API 密钥。避免使用过时或未维护的库。
- 了解交易所的安全建议: 不同的加密货币交易所可能有不同的安全建议和最佳实践。仔细阅读并遵循您所使用的交易所提供的文档。
妥善保管API Key和Secret Key:
- 不要将 API Key 和 Secret Key 存储在公共代码仓库(如 GitHub、GitLab、Bitbucket 等)中。 即使是私有仓库也存在潜在风险,应避免直接提交。 代码仓库的历史记录也会保存这些信息,即使后续删除,也可能通过历史记录被恢复。 使用`.gitignore`文件可以防止不小心将密钥提交到代码仓库。
- 不要通过不安全的渠道(如邮件、聊天工具、明文短信等)传输 API Key 和 Secret Key。 这些渠道容易被窃听或拦截,导致密钥泄露。 如果必须通过网络传输,请使用加密通道,例如安全文件传输协议(SFTP)或端到端加密的消息服务。
- 将 API Key 和 Secret Key 存储在安全的地方,例如加密的配置文件、环境变量、密钥管理系统(KMS)等。 加密配置文件可以防止未经授权的访问。 使用环境变量可以避免将密钥硬编码到应用程序中。 密钥管理系统(例如 HashiCorp Vault、AWS KMS、Google Cloud KMS)提供更高级的安全控制和审计功能,能够集中管理和保护密钥。 避免将密钥直接写入代码,这会增加泄露的风险。
- 定期更换 API Key。 即使你认为你的 API Key 没有泄露,定期更换 API Key 也是一种良好的安全习惯,可以降低密钥泄露带来的潜在风险。 设置密钥轮换策略,并使用自动化的密钥管理工具来简化密钥更换过程。 更换密钥后,务必更新所有使用该密钥的应用程序和服务。
最小权限原则:保障 API 密钥安全的关键
在加密货币交易和应用开发中,API 密钥扮演着至关重要的角色。为了确保资金和数据的安全,遵循最小权限原则至关重要。这意味着仅向 API 密钥授予完成其特定任务所需的最低权限,从而最大限度地减少潜在的安全风险。
-
精确授权:API 密钥权限的精细化管理
- 只授予 API 密钥所需的最低权限。 例如,如果你的 API 密钥只需要读取账户余额,严格限制其权限范围,避免授予任何交易或提现权限。给予不必要的权限如同敞开后门,极易被恶意利用。
- 审慎评估权限需求: 在授予 API 密钥权限之前,务必仔细评估其真实需求。例如,某些 API 密钥可能只需要访问市场数据,而另一些可能需要执行特定类型的交易。清晰了解需求是实施最小权限原则的基础。
-
杜绝不必要的提现权限:强化资金安全防线
- 对于不需要提现功能的 API 密钥,绝对不要开启提现权限。 提现权限是高风险权限,一旦泄露或被盗用,可能直接导致资金损失。除非 API 密钥明确需要执行提现操作,否则应禁用此权限。
- 定期审查权限设置: 定期审查所有 API 密钥的权限设置,确保其仍然符合当前的需求。随着业务发展,API 密钥的需求可能会发生变化,及时调整权限可以有效降低安全风险。
IP白名单限制:
- 尽可能使用 IP 白名单限制 API 密钥的访问来源,提升安全性。 实施 IP 白名单机制,能够有效限制未经授权的访问,仅允许来自预先批准的 IP 地址的请求访问 API 接口。这种方法显著降低了因密钥泄露或被盗用而造成的风险,确保只有授权系统或用户才能与 API 交互。
- 定期检查和更新 IP 白名单,确保白名单中的 IP 地址是有效的且是最新的。 随着网络环境的变化,例如服务器迁移、IP 地址变更或新增授权用户,及时审查和更新 IP 白名单至关重要。过时的 IP 地址可能会阻止合法的访问,而未知的 IP 地址则可能带来安全风险。建议建立一套定期审查和更新的流程,例如每月或每季度进行一次,以确保白名单的准确性和有效性。同时,记录每次更新的原因和变更内容,便于追踪和审计。
频率限制:
- 注意 Gate.io 的 API 频率限制。 过高的 API 请求频率可能会导致 API 密钥被暂时禁用,严重情况下可能导致账户受到限制。 请务必查阅 Gate.io 官方 API 文档,了解不同 API 端点的具体频率限制,这些限制通常以每分钟或每秒允许的请求次数来表示。
- 在你的应用程序中实现合理的 API 请求频率控制。 这包括使用延迟机制(例如,在发送 API 请求之间添加短暂的暂停),以及实现重试逻辑,以便在遇到频率限制错误时自动重新发送请求。 建议采用指数退避算法来处理重试,即每次重试之间的延迟时间逐渐增加,以避免进一步加剧频率限制问题。 监控你的 API 请求使用情况,并根据实际需要调整请求频率,以避免不必要的频率限制。 你可以使用专门的库或中间件来实现 API 请求频率控制,例如使用令牌桶算法或漏桶算法。
异常监控:
-
监控 API 密钥活动,保障账户安全。
通过对 API 密钥的活动进行严密监控,可以及时发现并阻止潜在的安全威胁。这包括追踪所有使用 API 密钥发起的请求,例如查询余额、创建订单、发起交易或提现等操作。
重点关注以下异常活动:
- 未经授权的交易: 监测非预期的交易活动,如大额转账或向未知地址的转账。
- 异常提现请求: 警惕突然出现的提现请求,尤其是在非正常时间或与历史行为不符的提现请求。
- 频繁的失败请求: 大量API请求失败可能表明密钥已被泄露,并被恶意用户尝试使用。
- 来源不明的请求: 监测来自未知 IP 地址或地理位置的 API 请求,这可能表明密钥已被盗用。
- 权限提升尝试: 关注尝试执行超出密钥权限范围的操作,例如尝试访问敏感数据或执行管理操作。
-
配置实时警报系统,快速响应安全事件。
建立一套完善的警报机制至关重要,以便在检测到异常情况时立即收到通知。
以下是一些关键的警报配置建议:
- 自定义警报阈值: 根据你的交易习惯和风险承受能力,设置合理的警报阈值。例如,可以设置当单笔交易金额超过一定限额时触发警报。
- 多渠道通知: 确保警报可以通过多种渠道发送,例如电子邮件、短信或移动应用程序推送通知,以便你能够及时收到警报。
- 详细的警报信息: 警报信息应包含足够详细的信息,例如触发警报的具体操作、涉及的 API 密钥、时间戳等,以便你能够快速判断事件的性质和采取相应的措施。
- 警报分类和优先级: 对不同类型的异常情况进行分类,并根据其严重程度设置不同的优先级,以便你能够优先处理最紧急的安全事件。
- 持续优化警报规则: 定期审查和优化警报规则,以确保其能够有效地检测到最新的安全威胁,并减少误报的可能性。
使用HTTPS协议:
- 务必采用HTTPS协议与Gate.io API建立安全通信。 HTTPS(Hypertext Transfer Protocol Secure)通过SSL/TLS协议对HTTP请求进行加密,确保客户端与服务器之间传输的数据得到保护,有效防止中间人攻击和数据窃听。HTTPS协议验证服务器的身份,确立可信赖的通信通道,保障API密钥和交易数据的安全性。
验证服务器证书:
-
在你的应用程序中验证 Gate.io 服务器的 SSL 证书。
这对于建立安全可靠的连接至关重要。验证SSL证书能够有效防止中间人攻击,确保应用程序与合法的Gate.io服务器进行通信,保障数据传输的安全性。
验证过程通常包括以下几个步骤:
- 检查证书链: 确认服务器提供的证书链完整且有效,所有证书均由受信任的根证书颁发机构(CA)签名。
- 验证证书有效期: 确保证书未过期,且在有效期内。
- 核对域名: 确保证书上的域名与你尝试连接的 Gate.io 服务器域名完全匹配。
- 检查证书吊销列表(CRL)或使用在线证书状态协议(OCSP): 确认证书未被吊销。
- 使用受信任的证书颁发机构(CA): 确保证书是由你信任的根证书颁发机构签发的。 系统或应用程序中应预装有这些受信任的CA根证书。
防止重放攻击:
- 使用时间戳或随机数(nonce)来防止重放攻击。 重放攻击是指恶意攻击者截取合法的API请求数据包,随后未经授权地重新发送这些数据包,从而达到欺骗系统、重复执行操作或者未经许可访问资源的目的。为了防御此类攻击,可以在API请求中引入时间戳或随机数机制。
-
- 时间戳机制: 在每个API请求中包含一个时间戳,服务器端验证时间戳的有效性。例如,服务器可以拒绝接收超过一定时间范围(例如5分钟)的请求,从而防止攻击者使用旧的请求。客户端和服务器需要同步时钟,或者允许一定的时钟偏差。
- 随机数(Nonce)机制: Nonce是一个只使用一次的随机字符串。客户端在每次API请求中包含一个唯一的Nonce,服务器端记录已经使用过的Nonce。当服务器接收到包含相同Nonce的请求时,会将其视为重放攻击并拒绝执行。Nonce可以与用户ID或其他标识符组合使用,增加安全性。Nonce需要具有足够的随机性和长度,以防止碰撞或预测。
- 组合使用: 将时间戳和Nonce结合使用,可以提供更强的安全性。时间戳限制了请求的有效时间窗口,Nonce则确保每个请求的唯一性。
- HTTPS加密: 使用HTTPS协议对API请求进行加密,防止中间人攻击,确保请求数据在传输过程中的机密性和完整性,从而降低重放攻击的风险。
- 签名验证: 对API请求进行数字签名,确保请求的完整性和真实性。服务器端验证签名的有效性,防止请求被篡改。签名中可以包含时间戳、Nonce和其他请求参数,进一步提高安全性。
错误处理:
-
妥善处理 API 请求错误。
对于任何与 API 交互相关的错误,务必进行全面且周到的处理。错误处理应包含以下几个关键方面:
- 错误类型识别: 明确区分不同类型的 API 错误,例如网络连接问题、无效的请求参数、权限不足、服务器内部错误以及 API 速率限制等。
- 错误信息格式化: 将原始的 API 错误信息转换为用户友好的、易于理解的格式。避免直接显示技术性错误代码,而是提供清晰的错误描述,指导用户采取适当的纠正措施。
- 安全注意事项: 严格禁止在错误信息中暴露任何敏感信息,特别是 API Key 或 Secret Key。 这些密钥一旦泄露,可能导致账户被盗用或遭受其他安全威胁。采用通用的错误代码或消息,并记录详细的错误日志(在服务器端安全存储),以便调试,但确保不向最终用户显示敏感数据。
- 重试机制: 针对某些类型的错误(如网络连接问题或临时性服务器错误),可以实施自动重试机制。重试机制应包含合理的退避策略,避免因频繁重试而加剧服务器负担。
- 降级策略: 当 API 服务不可用时,可以考虑采用降级策略,例如提供缓存数据、使用备用 API 接口或简化功能。
-
记录 API 请求日志,方便排查问题。
详细的 API 请求日志是诊断和解决问题的关键。日志记录应包含以下信息:
- 请求时间戳: 记录每个 API 请求的精确时间,有助于追踪问题的发生时间。
- 请求 URL: 记录完整的 API 请求 URL,包括所有查询参数。
- 请求方法: 记录使用的 HTTP 请求方法(例如 GET、POST、PUT、DELETE)。
- 请求头: 记录重要的请求头信息,例如 Content-Type、User-Agent 和 Authorization。
- 请求体: 如果请求包含请求体(例如 POST 请求),记录请求体的内容。注意:对于包含敏感信息的请求体,需要进行脱敏处理或加密存储。
- 响应状态码: 记录 API 响应的 HTTP 状态码,例如 200 OK、400 Bad Request、500 Internal Server Error。
- 响应头: 记录重要的响应头信息,例如 Content-Type 和 RateLimit-Remaining。
- 响应体: 记录 API 响应的响应体内容。同样,对于包含敏感信息的响应体,需要进行脱敏处理或加密存储。
- 错误信息: 如果请求失败,记录详细的错误信息,包括错误代码、错误消息和堆栈跟踪。
- 用户标识: 记录发起 API 请求的用户标识,有助于追踪特定用户的行为。
定期审查:
- 定期审查你的 API 密钥配置和使用情况。 API 密钥是访问交易所或加密货币服务的重要凭证,如同银行账户的密码。务必定期检查,确保 API 密钥的权限设置仍然符合你的实际需求。比如,如果你的策略只需要读取市场数据,API 密钥就应该只拥有读取权限,而非交易或提现权限,最大限度地减少潜在的安全风险。要密切监控 API 密钥的使用情况,警惕任何异常活动,例如突然出现的大额交易或未知来源的访问请求。
三、常见的API调用错误及处理
在 API 调用过程中,可能会遇到各种错误。深刻理解这些错误类型及其根本原因,并采取相应的处理措施,是确保程序稳定运行和数据准确性的关键。
-
400 Bad Request(错误请求):
通常表示客户端发送的请求包含无效参数或格式错误。这可能源于以下原因:
- 请求体缺少必需的参数。
- 参数值超出有效范围或类型不匹配。
- 请求体格式不符合 API 规范(例如,使用了错误的 Content-Type)。
处理方案: 仔细检查你的请求参数,对照 Gate.io API 文档,确认参数名称、数据类型、取值范围和格式是否完全符合要求。使用 API 文档提供的示例代码进行参考,并使用调试工具(如 Postman)进行测试。
-
401 Unauthorized(未授权):
通常表示客户端未提供有效的身份验证凭据,或者提供的凭据不正确。常见原因包括:
- API Key 或 Secret Key 不正确或已过期。
- 尝试访问需要特定权限的 API 接口,但 API Key 没有相应的权限。
- IP 地址未添加到 API Key 的白名单中(如果启用了 IP 白名单)。
处理方案: 仔细检查你的 API Key 和 Secret Key 是否复制正确,并且没有包含空格或其他非法字符。确保你的 API Key 处于激活状态,并且没有被禁用。如果启用了 IP 白名单,确认发起 API 请求的 IP 地址已正确添加到白名单中。 查阅 Gate.io API 文档,确认你的 API Key 具有访问该 API 接口所需的权限。
-
403 Forbidden(禁止访问):
通常表示客户端已通过身份验证,但无权访问请求的资源或 API 接口。 这通常是因为 API 密钥的权限不足。
处理方案: 仔细检查你的 API 密钥权限设置是否正确,确保 API 密钥拥有足够的权限来访问特定的 API 接口。参考 Gate.io API 文档,了解不同 API 接口所需的权限范围。
-
429 Too Many Requests(请求过多):
表示客户端在短时间内发送了过多的 API 请求,超过了 Gate.io 的速率限制。
处理方案: 降低 API 请求频率。实施速率限制策略,例如使用令牌桶算法或漏桶算法来平滑请求流量。根据 Gate.io API 文档中规定的速率限制,合理规划你的 API 请求策略。可以考虑使用缓存机制来减少对 API 的直接调用。
-
500 Internal Server Error(服务器内部错误):
表示 Gate.io 服务器在处理你的请求时遇到了内部错误。
处理方案: 这通常是临时性的问题,无法由客户端直接解决。等待一段时间后重试。如果问题持续存在,请联系 Gate.io 的技术支持团队,并提供详细的错误信息和请求日志,以便他们进行排查和修复。避免在服务器出现问题时进行高频次的重试,以免加剧服务器的负载。
四、示例代码(仅供参考)
以下是一个简单的 Python 示例代码,用于获取 Gate.io 现货账户余额。请务必替换
YOUR_API_KEY
和
YOUR_SECRET_KEY
为你实际的 API 密钥和密钥。
import hashlib
import hmac
import time
import requests
import
API_KEY = "YOUR_API_KEY"
SECRET_KEY = "YOUR_SECRET_KEY"
BASE_URL = "https://api.gateio.ws/api/v4"
def generate_signature(method, url, query_string=None, payload=None):
"""
生成 Gate.io API 请求的签名。
Args:
method (str): HTTP 方法 (GET, POST, PUT, DELETE 等).
url (str): 不包含域名的API端点路径, 例如: /api/v4/spot/accounts.
query_string (str, optional): URL 查询字符串. Defaults to None.
payload (str, optional): 请求体,通常为 JSON 字符串. Defaults to None.
Returns:
dict: 包含 API 密钥、时间戳和签名的字典,作为请求头使用。
"""
t = time.time()
m = method.upper()
message = f'{m}\n{url}\n{query_string or ""}\n{payload or ""}\n{t}'
h = hmac.new(SECRET_KEY.encode('utf-8'), message.encode('utf-8'), hashlib.sha512)
signature = h.hexdigest()
return {'KEY': API_KEY, 'Timestamp': str(int(t)), 'SIGN': signature}
def get_account_balance(currency):
"""
获取指定币种的现货账户余额。
Args:
currency (str): 要查询的币种,例如 "USDT", "BTC".
Returns:
dict: 包含账户信息的字典,如果找到指定币种,否则返回 None.
例如: {'currency': 'USDT', 'available': '100.0', 'locked': '10.0'}.
"""
url = f"{BASE_URL}/spot/accounts"
headers = generate_signature("GET", "/api/v4/spot/accounts")
try:
response = requests.get(url, headers=headers)
response.raise_for_status() # Raise HTTPError for bad responses (4xx or 5xx)
accounts = response.()
for account in accounts:
if account['currency'] == currency:
return account
return None
except requests.exceptions.RequestException as e:
print(f"API request failed: {e}")
return None
if __name__ == '__main__':
currency = "USDT"
balance = get_account_balance(currency)
if balance:
print(f"Available {currency} balance: {balance['available']}")
print(f"Locked {currency} balance: {balance['locked']}")
else:
print(f"Currency {currency} not found in account.")
代码解释:
-
API_KEY和SECRET_KEY: 替换成你自己的 Gate.io API 密钥。 -
BASE_URL:Gate.io API 的基础 URL。 -
generate_signature函数:生成 API 请求所需的签名。签名用于验证请求的合法性。HMAC-SHA512算法被用于创建签名。 -
get_account_balance函数:通过 Gate.io API 获取指定币种的账户余额。它构造 API 请求,包括必要的头部信息(API 密钥、时间戳和签名),然后发送 GET 请求到/spot/accounts端点。返回的 JSON 响应包含账户余额信息。 -
response.raise_for_status(): 用于检查HTTP请求是否成功。如果响应状态码指示错误(4xx 或 5xx 错误),则会引发 HTTPError 异常。这允许你处理API错误情况。 -
主程序:设置要查询的币种 (
currency),调用get_account_balance函数获取余额信息,然后打印可用余额和锁定余额。如果未找到指定币种,则打印相应的消息。
注意事项:
-
确保已安装
requests库:pip install requests。 - 使用 API 密钥时请注意安全,避免泄露。
- API 调用可能受到频率限制,请参考 Gate.io API 文档以了解具体限制。
- 此示例代码仅供参考,请根据你的实际需求进行修改和完善。
- 务必阅读并理解 Gate.io API 的官方文档,以获取关于身份验证、请求限制和错误处理的更多信息。
YOUR_API_KEY 和 YOUR_SECRET_KEY 替换为你实际的 API Key 和 Secret Key。 强烈建议使用更健壮的异常处理机制, 并将 API Key 和 Secret Key 安全地存储在环境变量或配置文件中。该代码仅用于演示 API 调用的基本流程,实际应用中需要根据具体需求进行修改和完善。
